『詐欺メール』「アカウントの詳細を更新してください。」と、来た件

ドイツからのPayPayのメール？！

少し古くなり旬を過ぎた感のあるメールで恐縮ですが、今回はPaypayを騙ったなりすまし
メールをご紹介しようと思います。

このメールは会社の代表アカウントに届いたものです。
そんなメールアカウントを使ってPayPayに登録しませんよね？！

メールのプロパティーはこちらです。

差出人：「paypay.co.jp <info@noreply.jp>」
名前を”paypay.co.jp”と書いておきながらメールアドレスが”info@noreply.jp”とはおかしな話。
”noreply”は返信しないでくださいって意味ですが、普通は@より前に使うものです。(汗)

エラーメッセージの返信先である”Return-Path”に書かれてるのは”dimi5y@5-y.de”なんて
”paypay.co.jp”や”info@noreply.jp”とは全然違うメールアドレス。
これ、どれが本当なの？　と思ってメールのヘッダーにある”Received”フィールドを
確認してみる。
”Received”で時系列の一番古いのが差出人の情報になりますがそれがこちら。

この中で”83-169-19-90”ってのが差出人のIPアドレスになるので実際は”83.169.19.90”
このIPアドレスの所在を確認すると、ドイツのヒュルトって街がヒットしました。

旬を過ぎてるのでもしかして変わってるかもしれませんが…(^^;

そう言えばさっきのメールプロパティーの送信日時に見かけない”CEST”って標準時刻表示が
有りましたよね？　あれって何なのか調べてみると。
どうやら”CEST”ってのは「中央ヨーロッパ夏時間」の表示って事が分かりました。
じゃ”中央ヨーロッパ”ってのはどこ？と思うのが人情(笑)
その一覧がこちら。

これはい、期待通り”ドイツ”が含まれていますね！(爆笑)

本文の日本語に違和感なし

メールの本文はこんな感じ。

流暢な日本語使っていますよね？　ホントはドイツなのに(笑)
といってもこのメールは正真正銘フィッシング詐欺メール。
ですので、本文中には詐欺を行うウェブサイトへのリンクが貼ってあります。
そのリンク先URLがコレ

全くPayPayに由来の無いURLです(笑)

使われている”2969cure.com”ってドメインについて軽く調べると。

今度はアメリカのブレアって街でしたね。

手が込んだサイト作り

サイトに行こうとすると、ウィルスバスターに遮断されました。

危険を承知で先へ行ってみると、PayPayの偽ログイン画面が開きました。

適当に入力し”ログイン”ボタンを押すとこんな画面が…(^^;

なんとも気の早い犯人ですこと、早速クレカ情報を求められました(笑)

更に適当に入力してみると、本人確認が表示されました。
なかなか手が込んでいます。

ここも適当に打ち込んで”送信”ボタンを押すと、Apple StoreのPayPayアプリページに
飛ばされました。

と言う事は、これで犯人の目的は達成されたって事ですね。

日本語も違和感が無いし、偽サイトも手が込んでますし巧妙に作られていますね。
こりゃ最初から疑っていないとヤバいかも知れませんよ！

やはり、メールのプロパティーとヘッダーには気を配っていますといけませんね。
皆さま十分にお気を付けてお過ごしください。